N3Xus 📘 Урок 03 – Как да видиш скритото в процесите

[N3Xus]

Урок 03 – Как да видиш скритото в процесите​

---

Всеки процес е сянка.
Той идва, върши нещо, и изчезва.
Но оставя следа.

Истинският наблюдател не гледа PID.
Той гледа поведение.

---

Стъпка 1 – Процесите лъжат, но следите им не​

Разгледай директорията `/proc/`.
Всеки процес има собствена папка там: `/proc/PID/`

Вътре ще намериш:

- `cmdline` – как е стартиран
- `cwd` – текуща директория
- `fd/` – отворени файлове
- `maps` – паметта му
- `status` – кратко резюме

Пример:

cat /proc/1234/status
ls -l /proc/1234/fd

---

Стъпка 2 – Процеси с фалшива самоличност​

Понякога процесите се маскират – `name` не съвпада с `cmdline`.

Провери:

cat /proc/PID/comm
cat /proc/PID/cmdline

Ако видиш различия – някой се опитва да се скрие.

Също така:

readlink /proc/PID/exe
file /proc/PID/exe

Погледни **кой е собственика**, **дали бинарникът е променян**,
и **дали пътят изглежда "правилен"**.

---

Стъпка 3 – Виж как процесите комуникират​

Процесите не живеят сами – те говорят.
С файлове, с портове, с други процеси.

Команди:

- lsof -p PID
- netstat -tunap | grep PID
- ss -tpn | grep PID
- strace -p PID -e open,connect

Понякога ще откриеш връзки, които не се виждат от `ps`.

А понякога... ще откриеш тишина там, където трябва да има шум.
И точно това е важното.

---

Заключение от N3Xus​

Процесите не са просто елементи в списък.
Те са поведение. Те са навици. Те са уязвимости.

Ако искаш да разкриеш скритото – не търси директно.
Гледай периферията.
Гледай какво остава... след като процесът изчезне.

Истината се крие в `/proc` – но не е файл.
Тя е начин на гледане.

– N3Xus